La directive sur les services de paiement (DSP2) est entrée en vigueur le 13 janvier 2018 avec comme objectif de sécuriser les transactions financières et de protéger les clients contre la cybercriminalité. Une des mesures phares est la mise en place d’une authentification forte pour les paiements sur internet. Celle-ci devait être mise en œuvre à compter du 1er janvier 2021 mais plusieurs reports ont eu lieu en raison de la crise actuelle. Les commerçants qui proposent des ventes en ligne ont donc jusqu’au 30 juin 2021 pour se mettre en conformité avec la DSP2 et proposer ainsi un paiement sur internet avec authentification forte. Cela ne concerne que les règlements en ligne. Les paiements réalisés en magasin avec les TPE classiques ne sont pas visés par cette nouvelle mesure.

Une authentification plus contraignante pour sécuriser les paiements en ligne

Actuellement, lors d’un paiement sur internet par carte bancaire, le commerçant et la banque mettent habituellement en place un ou deux dispositifs de vérification afin de limiter les risques d’usage frauduleux d’une carte bancaire.
Ainsi, le cryptogramme est toujours demandé en plus de numéro de la carte et de sa date de validité. Il s’agit du petit code à 3 chiffres situé au dos de la carte.
De plus en plus souvent, un second dispositif est mis en place. Il prend généralement la forme d’un code envoyé par sms.
A partir du 1er juillet 2021, cela ne sera plus suffisant. Ces deux procédés ne garantissent pas une authentification forte au sens de la DSP2. Celle-ci suppose la présence de 2 des 3 critères suivants :

  • Un code (ou mot de passe) connu uniquement par le client
  • Un appareil autre que l’ordinateur sur lequel est effectué le paiement et appartenant au client comme son smartphone, un lecteur de QR Code, etc.
  • Une caractéristique personnelle du client : empreinte digitale, reconnaissance vocale ou faciale…

Chaque banque a mis en place son propre système. Ils ont comme point commun de s’appuyer sur l’application mobile de la banque que les clients devront donc télécharger sur leurs smartphones. Cela s’explique par le fait que les téléphones de dernière génération sont de plus en plus sécurisés avec des dispositifs de reconnaissance faciale ou de lecteurs d’empreintes.
Le principe est globalement le même pour chaque système. Lorsque le client entre ses informations de paiement pour régler par carte bancaire sur internet, une notification va être envoyée sur l’application mobile. Le client devra donc s’y connecter pour prouver qu’il est bien à l’origine de la transaction. Certaines banques n’ont pas attendu le 1er juillet 2021 et ont déjà généralisé cette authentification forte.

Que faire si vous ne souhaitez pas télécharger l’application mobile de votre banque ?

Il conviendra de contacter votre conseiller bancaire qui pourra vous renseigner sur les solutions alternatives mises en place par votre banque : achat d’un appareil pour lire un QR Code ou envoi d’un code par sms doublé d’un code permanent comme celui pour accéder à son compte en ligne par exemple.

Dans quels cas sera-t-il possible de payer en ligne par carte bancaire sans authentification forte ?

  • Il existe certaines exceptions à l’exigence d’authentification fortes. Parmi elles, on peut citer :
  • les paiement inférieurs à 30 euros ;
  • les abonnements ou paiements récurrents (dès lors que la somme reste identique) dès le deuxième paiement ;
  • les paiements à destination des bénéficiaires de confiance inscrits par le client dans la liste blanche conservée par sa banque ;
  • les paiements réalisés avec une carte bancaire professionnelle.